He sido infectado por el virus RAP, ¿qué debo hacer?

La solución sigue siendo problemática, la copiaré por usted ~ Hay un parche, descargue y abra el parche, hay cinco archivos, cópielos en las ubicaciones correspondientes (hay instrucciones) Por favor. consúltelo/question/5038244.html Los principios y soluciones de los ataques ARP (tercera edición) incluyen cómo encontrar la causa de la falla del host de virus en la LAN. Alguien en la LAN utiliza programas troyanos de suplantación de ARP (como: World of. Warcraft, Paradise, Audition y otros programas de robo de cuentas), este programa también se ha cargado maliciosamente en algunos complementos). Principio de falla Para comprender el principio de falla, primero comprendamos el protocolo ARP. En la LAN, la dirección IP se convierte en una dirección física de segunda capa (es decir, dirección MAC) mediante el protocolo ARP. El protocolo ARP es de gran importancia para la seguridad de la red. La suplantación de ARP se logra falsificando direcciones IP y direcciones MAC, lo que puede generar una gran cantidad de tráfico ARP en la red y obstruir la red. El protocolo ARP es la abreviatura de "Protocolo de resolución de direcciones". En una red de área local, lo que realmente se transmite en la red es una "trama" y la trama contiene la dirección MAC del host de destino. En Ethernet, si un host quiere comunicarse directamente con otro host, debe conocer la dirección MAC del host de destino. Pero, ¿cómo se obtiene esta dirección MAC de destino? Se obtiene mediante el Protocolo de resolución de direcciones. La llamada "resolución de direcciones" es el proceso en el que el host convierte la dirección IP de destino en la dirección MAC de destino antes de enviar la trama. La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar una comunicación fluida. Cada computadora con el protocolo TCP/IP instalado tiene una tabla de caché ARP. Las direcciones IP en la tabla corresponden a las direcciones MAC uno a uno, como se muestra a continuación. Dirección IP del host Dirección MAC A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd Tomemos como ejemplo el host A (192.168.16.1) que envía datos al host B (192.168.16.2). Al enviar datos, el host A buscará la dirección IP de destino en su tabla de caché ARP. Si se encuentra, también conoce la dirección MAC de destino y puede simplemente escribir la dirección MAC de destino en la trama y enviarla. Si la dirección IP correspondiente no se encuentra en la tabla de caché ARP, el host A enviará una transmisión; la red, la dirección MAC de destino es "FF.FF.FF.FF.FF.FF", lo que significa que se envía dicha consulta a todos los hosts en el mismo segmento de red: "¿Cuál es la dirección MAC de 192.168.16.2? " Otros hosts en la red no responden a la consulta ARP. Solo cuando el host B recibe esta trama, responde al host A así: "La dirección MAC de 192.168.16.2 es bb-bb-bb-bb-bb-bb ". De esta manera, el host A conoce la dirección MAC del host B y puede enviar información al host B. Al mismo tiempo, también actualiza su propia tabla de caché ARP. La próxima vez que envíe información al host B, podrá buscarla directamente en la tabla de caché ARP. La tabla de caché ARP adopta un mecanismo de antigüedad. Si una fila de la tabla no se utiliza dentro de un período de tiempo, se eliminará. Esto puede reducir en gran medida la longitud de la tabla de caché ARP y acelerar la consulta. Como se puede ver en lo anterior, la base del protocolo ARP es confiar en todos en la LAN, por lo que es fácil lograr la suplantación de ARP en Ethernet. Falsifica el objetivo A. Cuando A hace ping al host C, envía el mensaje a la dirección DD-DD-DD-DD-DD-DD. Si la dirección MAC de C se falsifica como DD-DD-DD-DD-DD-DD, entonces los paquetes de datos enviados por A a C se enviarán a D.

¿No es esto solo porque D puede recibir el paquete de datos enviado por A? El rastreo es exitoso. A no estaba consciente de este cambio en absoluto, pero lo que sucedió después lo hizo sospechar. Porque A y C no se pueden conectar. D recibió el paquete de datos enviado por A a C pero no lo reenvió a C. Haga "hombre en el medio" y realice la redirección ARP. Active la función de reenvío de IP de D y los paquetes de datos enviados por A se reenvían a C, como un enrutador. Sin embargo, si D envía una redirección ICMP, rompe todo el plan. D modifica y reenvía directamente el paquete completo, captura los paquetes de datos enviados por A a C, los modifica todos y luego los reenvía a C. Los paquetes de datos recibidos por C se consideran completamente enviados desde A. Sin embargo, el paquete de datos enviado por C se pasa directamente a A. Si se realiza nuevamente la suplantación ARP de C. Ahora D se ha convertido por completo en el puente intermedio entre A y C y puede comprender bien la comunicación entre A y C. Fenómeno de falla: cuando un host en la red de área local ejecuta un programa troyano de suplantación de ARP, engañará a todos los hosts y enrutadores en la red de área local, de modo que todo el tráfico de Internet debe pasar a través del host del virus. Otros usuarios que solían acceder a Internet directamente a través del enrutador ahora cambian para acceder a Internet a través del host del virus. Durante el cambio, el usuario se desconectará. Después de cambiar al host del virus para acceder a Internet, si el usuario ya ha iniciado sesión en el servidor, el host del virus a menudo simulará la desconexión y el usuario tendrá que iniciar sesión en el servidor nuevamente, para que el host del virus pueda robar la cuenta. Cuando ocurre el programa troyano de suplantación de ARP, enviará una gran cantidad de paquetes de datos, lo que provocará congestión de las comunicaciones en la LAN y limitará sus propias capacidades de procesamiento. Los usuarios sentirán que la velocidad de Internet es cada vez más lenta. Cuando el programa troyano de suplantación de ARP deja de ejecutarse, el usuario reanudará el acceso a Internet desde el enrutador y se desconectará nuevamente durante el proceso de cambio. Los usuarios de HiPER descubrieron rápidamente el troyano de suplantación de ARP y vieron una gran cantidad de la siguiente información en el "Historial del sistema" del enrutador (este mensaje solo está disponible en versiones de software del enrutador posteriores a 440): MAC Chged 10.128.103.124 MAC Old 00:01 :6c:36 :d1:7f MAC New 00:05:5d:60:c7:18 Este mensaje representa que la dirección MAC del usuario ha cambiado. Cuando el troyano de suplantación de identidad ARP comienza a ejecutarse, las direcciones MAC de todos los hosts de la LAN son. actualizado a la dirección MAC del host del virus (es decir, la nueva dirección MAC de toda la información es consistente con la dirección MAC del host del virus. Al mismo tiempo, en las "Estadísticas de usuario" del enrutador). Se verá que la información de la dirección MAC de todos los usuarios es la misma. Si ve una gran cantidad de direcciones MAC antiguas que son consistentes en el "Historial del sistema" del enrutador, significa que se ha producido una suplantación de ARP en la LAN (cuando el programa troyano de suplantación de ARP deja de ejecutarse, el host recupera su dirección MAC real en el enrutador). Encuentre el host del virus en la LAN Arriba ya conocemos la dirección MAC del host que usa troyanos de suplantación de ARP, luego podemos usar la herramienta NBTSCAN para encontrarlo rápidamente. NBTSCAN puede obtener la dirección IP real y la dirección MAC de la PC. Si hay un "ataque ARP" en funcionamiento, puede encontrar la dirección IP/MAC de la PC equipada con el ataque ARP. Comando: "nbtscan -r 192.168.16.0/24" (busque todo el segmento de red 192.168.16.0/24, es decir, 192.168.16.1-192.168.16.254 o "nbtscan 192.168.16.25-137" busque 192.168.16.25-); 13 7 segmentos de red, a saber, 192.168.16.25-192.168.16.137. La primera columna del resultado es la dirección IP y la última columna es la dirección MAC. Ejemplo de uso de NBTSCAN: Supongamos que está buscando un host de virus con una dirección MAC de "000d870d585f". 1) Descomprima nbtscan.exe y cygwin1.dll en el paquete comprimido y colóquelos en c:.

2) Inicio - Ejecutar - Abrir en Windows, ingrese cmd (ingrese "comando" en windows98), ingrese en la ventana de DOS que aparece: C: btscan -r 192.168.16.1/24 (aquí debe ingresar de acuerdo con el usuario real segmento de red), coche de retorno. 3) Al consultar la tabla de correspondencia IP-MAC, se encontró que la dirección IP del host del virus "000d870d585f" es "192.168.16.223". Solución: 1. No base la relación de confianza de seguridad de su red en IP o MAC (rarp también tiene el problema del engaño. La relación ideal debería basarse en IP MAC). 2. Configure una tabla de correspondencia de IP estática MAC--gt y no permita que el host actualice la tabla de conversión que configuró. 3. A menos que sea necesario, deje de usar ARP y guarde ARP como una entrada permanente en la tabla correspondiente. 4. Utilice el servidor ARP. Utilice este servidor para buscar su propia tabla de traducción ARP para responder a las transmisiones ARP de otras máquinas. Asegúrese de que este servidor ARP no esté pirateado. 5. Utilice "proxy" para la transmisión de IP por proxy. 6. Utilice hardware para proteger el host. Configure su ruta para asegurarse de que la dirección IP pueda llegar a la ruta legal. (configure estáticamente las entradas ARP enrutadas), tenga en cuenta que la suplantación de ARP no se puede evitar mediante la conmutación de concentradores y puentes. 7. El administrador obtiene periódicamente una solicitud rarp del paquete IP de respuesta y luego verifica la autenticidad de la respuesta ARP. 8. El administrador realiza encuestas periódicamente para comprobar la caché ARP en el host. 9. Utilice un firewall para monitorear continuamente la red. Tenga en cuenta que cuando se utiliza SNMP, la suplantación de ARP puede provocar la pérdida de paquetes de captura. Solución para usuarios de HiPER Se recomienda que los usuarios adopten un método de enlace bidireccional para resolver el problema y evitar la suplantación de ARP. 1. Vincule la dirección IP y MAC del enrutador en la PC: 1) Primero, obtenga la dirección MAC de la red interna del enrutador (por ejemplo, la dirección MAC de la puerta de enlace HiPER 192.168.16.254 es 0022aa0022aa). 2) Escriba un archivo por lotes rarp.bat con el siguiente contenido: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa Cambie la dirección IP de la puerta de enlace y la dirección MAC en el archivo a su own La dirección IP de la puerta de enlace y la dirección MAC son suficientes. Arrastre este software de procesamiento por lotes a "Windows-Inicio-Programas-Inicio". 3) Si se trata de un cibercafé, puede utilizar un programa de servidor de software pago (pubwin o Wanxiang son aceptables) para enviar el archivo por lotes rarp.bat al directorio de inicio de todos los clientes. El directorio de inicio predeterminado de Windows 2000 es "C:\Documents and SettingsTodos los usuarios Inicio del programa del menú Inicio 2. Vincule la dirección IP y MAC del host del usuario en el enrutador (compatible con versiones de software del enrutador posteriores a 440): En la interfaz de administración HiPER --Configuración avanzada-- Vincula cada host en la LAN en la administración de usuarios